[求助]我的服务器今天被黑客植入一个很牛的程序！-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[求助]我的服务器今天被黑客植入一个很牛的程序！

2008-12-31 15:35 17265

[求助]我的服务器今天被黑客植入一个很牛的程序！

chalqq

2008-12-31 15:35

17265

我已经上传了附件！请各位牛人帮我分析下··运行以后要求输入用户名字和密码！不是VB写的·是Borland Delphi 6.0 - 7.0无壳！竟然在我服务器里·在服务器无意间按了5次SHIFT结果就出现了这个 ·最后终于把这个东西搞了出来了·请大家帮帮看看这个是什么·运行之后要填写的用户和密码又是什么？？？谢谢各位了！！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

发现的后门.rar （173.10kb，154次下载）
111.jpg （6.13kb，1152次下载）

收藏・7

点赞・0

打赏

最新回复 (32) 1 2 ▶
scgycxzzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	scgycxzzc 2008-12-31 16:58 2 楼 0 多半是盗取密码和用户名的
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1132 粉丝 2 关注私信	冷血书生 28 2008-12-31 17:18 3 楼 0 满足以下条件好像： not(md5(name)) = 33ba444e7621f9d59a5868a6f15edc86 base64(not(md5(code))) = autm1qtm0m0m5uknxuzmbftqyyeoymurgvtqwikn2een
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 333 粉丝 0 关注私信	tease 2008-12-31 17:56 4 楼 0 据我了解，有一种后门可以在3389的登录状态按五次shift也会出来，可以绕过系统登录直接进入。
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 335 粉丝 0 关注私信	lunglungyu 1 2008-12-31 19:09 5 楼 0 shift后门 LZ 搜下吧替换原sethc. exe？
爱琴海雪币： 1355 活跃值： (329) 能力值： ( LV13，RANK：920 ) 在线值：发帖 70 回帖 633 粉丝 7 关注私信	爱琴海 13 2008-12-31 19:10 6 楼 0 卡巴、NOD、金山、瑞星、360等都被瞄准了也没测试是否爆成功，你可以测试一下。上传的附件： sethc-crack.rar （173.11kb，53次下载）
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 2008-12-31 21:29 7 楼 0 真是这样的话，打开文件，弄个自己知道的md5填充进去就可以了吧~~~ 个人感觉，爆破应该木油问题的。
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 161 粉丝 0 关注私信	虾米 1 2008-12-31 22:42 8 楼 0 好厉害，
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 2008-12-31 23:34 9 楼 0 如五楼的兄弟所说，替换掉了系统 sethc.exe 。估计是留下用来加管理员帐号用的！运行之后要填写的用户和密码估计是为了只有自己才能加管理员，不是任何人都能加的！
ihhvqu 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ihhvqu 1 2009-1-1 01:05 10 楼 1 收下了留着备用!!这个东西很不错!
古道游魂雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	古道游魂 2009-1-1 01:11 11 楼 0 我很菜没深入分析，我就看到Power by langya
deersoft 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	deersoft 2009-1-1 02:41 12 楼 0 shift 后门
chalqq 雪币： 102 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	chalqq 2009-1-1 08:36 13 楼 0 昨天查了一下·好像这个软件很牛X·据说这个作者说如果自己的加密没人破解出用户和密码！使用说明： 1、用户名和密码均进行过不可逆式加密，如忘记只能重新生成了这个是软件的说明。很嚣张。。。竟然狂言说·这个软件没人破出来··诶···请大牛们谁破出来用户和密码发出来啊！！！
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 694 粉丝 0 关注私信	jerrynpc 2009-1-1 12:58 14 楼 0 这种破软件SHIFT后门都是2007年用的东西了，才发现？
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 2009-1-1 14:29 15 楼 0 这种东西我也经常用不过爆破是肯定没有问题的密码放在本身文件里很好找的
acpp 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	acpp 2009-1-1 15:55 16 楼 0 我也遇到这个问题了，一会开个帖子去
福满天雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	福满天 2009-1-1 16:41 17 楼 0 很牛...3389下按5次可以跳过
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 445 粉丝 0 关注私信	playx 1 2009-1-1 19:41 18 楼 0 楼主用用其他的方法管理用的服务器，不要开3389
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 2009-1-2 18:54 19 楼 0 0045727B \|. /75 1D jnz short sethc.0045729A 0045728A \|. /75 0E jnz short sethc.0045729A 两个关键，改了就行了，出现很多信息，做的好象还不错了，呵呵 Mybr Forum (www.mybr.org) DST Forum (www.darkst.com) Power by langya Version 1.1 2008.6.30
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 2009-1-2 22:05 20 楼 0 MD5值查不到就没办法了可以通过爆破或是把源文件删除 X:\Windows\System32\sethc.exe
shapaozi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	shapaozi 2009-1-6 11:19 21 楼 0 不是用来添加账户的，是它本身就是一个登录验证的程序，一个后门，这个软件的上传者可以通过这个程序来登录系统，从而绕过Windows的登录验证。
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 2009-1-6 15:51 22 楼 0 shift后门这是服务器的后门一般入侵者在成功后把这个程序跟sethc. exe捆绑为方便以后登陆这办法很多人知道为了防止被人利用就加了要登陆的用户名和密码其实找个干净的sethc. exe替换掉就可以了
dayang 雪币： 220 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-1-6 16:11 23 楼 0 SHIFT后门作者狼牙，听说过狼牙抓鸡器吗，就是他的，他一般在bbs.mybr.org和www.darkst.com上活动
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 2009-1-6 16:22 24 楼 0 看看后门!!!!!!!!!!!
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2069 粉丝 17 关注私信	cntrump 13 2009-1-11 12:02 25 楼 0 普通的利用粘滞键的后门程序而已.......... 可以彻底关闭这个功能的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

chalqq

发帖

回帖

RANK

关注

私信

他的文章

[求助]一个SHIFT后门的病毒分析

[求助]彻底挥泪……………寻求帮助！

服务器遭到入侵求助！！

[求助]我的服务器今天被黑客植入一个很牛的程序！

{求助}Armadillo 1.xx - 2.xx请问这个是什么壳？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
scgycxzzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	scgycxzzc 2008-12-31 16:58 2 楼 0 多半是盗取密码和用户名的
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1132 粉丝 2 关注私信	冷血书生 28 2008-12-31 17:18 3 楼 0 满足以下条件好像： not(md5(name)) = 33ba444e7621f9d59a5868a6f15edc86 base64(not(md5(code))) = autm1qtm0m0m5uknxuzmbftqyyeoymurgvtqwikn2een
tease 雪币： 93 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 333 粉丝 0 关注私信	tease 2008-12-31 17:56 4 楼 0 据我了解，有一种后门可以在3389的登录状态按五次shift也会出来，可以绕过系统登录直接进入。
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 335 粉丝 0 关注私信	lunglungyu 1 2008-12-31 19:09 5 楼 0 shift后门 LZ 搜下吧替换原sethc. exe？
爱琴海雪币： 1355 活跃值： (329) 能力值： ( LV13，RANK：920 ) 在线值：发帖 70 回帖 633 粉丝 7 关注私信	爱琴海 13 2008-12-31 19:10 6 楼 0 卡巴、NOD、金山、瑞星、360等都被瞄准了也没测试是否爆成功，你可以测试一下。上传的附件： sethc-crack.rar （173.11kb，53次下载）
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 2008-12-31 21:29 7 楼 0 真是这样的话，打开文件，弄个自己知道的md5填充进去就可以了吧~~~ 个人感觉，爆破应该木油问题的。
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 161 粉丝 0 关注私信	虾米 1 2008-12-31 22:42 8 楼 0 好厉害，
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 2008-12-31 23:34 9 楼 0 如五楼的兄弟所说，替换掉了系统 sethc.exe 。估计是留下用来加管理员帐号用的！运行之后要填写的用户和密码估计是为了只有自己才能加管理员，不是任何人都能加的！
ihhvqu 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ihhvqu 1 2009-1-1 01:05 10 楼 1 收下了留着备用!!这个东西很不错!
古道游魂雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	古道游魂 2009-1-1 01:11 11 楼 0 我很菜没深入分析，我就看到Power by langya
deersoft 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	deersoft 2009-1-1 02:41 12 楼 0 shift 后门
chalqq 雪币： 102 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	chalqq 2009-1-1 08:36 13 楼 0 昨天查了一下·好像这个软件很牛X·据说这个作者说如果自己的加密没人破解出用户和密码！使用说明： 1、用户名和密码均进行过不可逆式加密，如忘记只能重新生成了这个是软件的说明。很嚣张。。。竟然狂言说·这个软件没人破出来··诶···请大牛们谁破出来用户和密码发出来啊！！！
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 694 粉丝 0 关注私信	jerrynpc 2009-1-1 12:58 14 楼 0 这种破软件SHIFT后门都是2007年用的东西了，才发现？
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 2009-1-1 14:29 15 楼 0 这种东西我也经常用不过爆破是肯定没有问题的密码放在本身文件里很好找的
acpp 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	acpp 2009-1-1 15:55 16 楼 0 我也遇到这个问题了，一会开个帖子去
福满天雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	福满天 2009-1-1 16:41 17 楼 0 很牛...3389下按5次可以跳过
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 445 粉丝 0 关注私信	playx 1 2009-1-1 19:41 18 楼 0 楼主用用其他的方法管理用的服务器，不要开3389
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 2009-1-2 18:54 19 楼 0 0045727B \|. /75 1D jnz short sethc.0045729A 0045728A \|. /75 0E jnz short sethc.0045729A 两个关键，改了就行了，出现很多信息，做的好象还不错了，呵呵 Mybr Forum (www.mybr.org) DST Forum (www.darkst.com) Power by langya Version 1.1 2008.6.30
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 2009-1-2 22:05 20 楼 0 MD5值查不到就没办法了可以通过爆破或是把源文件删除 X:\Windows\System32\sethc.exe
shapaozi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	shapaozi 2009-1-6 11:19 21 楼 0 不是用来添加账户的，是它本身就是一个登录验证的程序，一个后门，这个软件的上传者可以通过这个程序来登录系统，从而绕过Windows的登录验证。
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 2009-1-6 15:51 22 楼 0 shift后门这是服务器的后门一般入侵者在成功后把这个程序跟sethc. exe捆绑为方便以后登陆这办法很多人知道为了防止被人利用就加了要登陆的用户名和密码其实找个干净的sethc. exe替换掉就可以了
dayang 雪币： 220 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-1-6 16:11 23 楼 0 SHIFT后门作者狼牙，听说过狼牙抓鸡器吗，就是他的，他一般在bbs.mybr.org和www.darkst.com上活动
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 2009-1-6 16:22 24 楼 0 看看后门!!!!!!!!!!!
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2069 粉丝 17 关注私信	cntrump 13 2009-1-11 12:02 25 楼 0 普通的利用粘滞键的后门程序而已.......... 可以彻底关闭这个功能的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复